V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
NordvpnПриложениеnvd

Nordvpn

Уязвимости
4
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.02744

Распределение по критичности

Критический
1
Высокий
2
Средний
1
Низкий
0

Затронутые диапазоны версий

≤ 6.19.6
Также сопоставлено как (исходные строки): nordvpn

Топ уязвимостей

CVE-2018-10170NordVPN 6.12.7.0 для Windows подвержен уязвимости повышения привилегий SYSTEM через службу "nordvpn-service". Эта служба устанавливает конечную точку NetNamedPipe, которая позволяет произвольным установленным приложениям подключаться и вызывать общедоступные методы. Метод "Connect" принимает аргумент экземпляра класса, который предоставляет злоумышленнику контроль над командной строкой OpenVPN. Злоумышленник может указать плагин динамической библиотеки, который должен запускаться для каждой новой попытки VPN-соединения. Этот плагин будет выполнять код в контексте пользователя SYSTEM.
CVE-2018-9105NordVPN 3.3.10 для macOS страдает от уязвимости повышения привилегий root. Уязвимость связана с реализованной службой XPC привилегированного вспомогательного инструмента. Эта служба XPC отвечает за получение и обработку новых запросов на подключение OpenVPN от основного приложения. К сожалению, эта служба XPC не защищена, что позволяет произвольным приложениям подключаться и отправлять ей сообщения XPC. Злоумышленник может отправить специально созданное сообщение XPC в привилегированный вспомогательный инструмент, запрашивая создание нового подключения OpenVPN. Поскольку он контролирует содержимое сообщения XPC, злоумышленник может указать местоположение исполняемого файла openvpn, который может указывать на что-то вредоносное, контролируемое им и расположенное на диске. Без проверки исполняемого файла openvpn это даст злоумышленнику возможность выполнить код в контексте привилегированного вспомогательного инструмента.
CVE-2018-3952В функциональности подключения NordVPN 6.14.28.0 существует эксплуатируемая уязвимость выполнения кода. Специально созданный файл конфигурации может вызвать повышение привилегий, что приведет к выполнению произвольных команд с системными привилегиями.
CVE-2019-25572NordVPN 6.19.6 содержит уязвимость отказа в обслуживании, которая позволяет локальным злоумышленникам сбивать приложение, отправляя чрезмерно длинную строку в поле ввода электронной почты. Злоумышленники могут вставить буфер из 100,000 символов в поле электронной почты во время входа в систему, чтобы вызвать сбой приложения.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →